Aggiungere criteri dell'organizzazione predefiniti

Questa pagina descrive come aggiungere policy dell'organizzazione alle istanze Cloud SQL per imporre limitazioni a Cloud SQL a livello di progetto, cartella o organizzazione. Per una panoramica, consulta Policy dell'organizzazione Cloud SQL.

Prima di iniziare

  1. Accedi al tuo Google Cloud account. Se non hai mai utilizzato Google Cloud, crea un account per valutare il rendimento dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Installa la gcloud CLI.

  5. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  6. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  7. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  8. Verify that billing is enabled for your Google Cloud project.

  9. Installa la gcloud CLI.

  10. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  11. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init
  12. Aggiungi il ruolo Amministratore policy dell'organizzazione (roles/orgpolicy.policyAdmin) al tuo account utente o service account dalla pagina IAM e amministrazione.

    Vai alla pagina degli account IAM

  13. Consulta la sezione Limitazioni prima di eseguire questa procedura.

Aggiungi la policy dell'organizzazione per la connessione

Per una panoramica, consulta Policy dell'organizzazione per la connessione.

Per aggiungere una policy dell'organizzazione per la connessione:

  1. Vai alla pagina Policy dell'organizzazione.

    Vai alla pagina Policy dell'organizzazione

  2. Fai clic sul menu a discesa dei progetti nella scheda in alto, quindi seleziona il progetto, la cartella o l'organizzazione che richiede la policy dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

  3. Filtra per name o display_name del vincolo.

    • Per disabilitare l'accesso a internet o da internet:

      name: "constraints/sql.restrictPublicIp"
display_name: "Restrict Public IP access on Cloud SQL instances"

    • Per disattivare l'accesso da internet quando manca l'autenticazione IAM (questo non influisce sull'accesso tramite IP privato):

      name: "constraints/sql.restrictAuthorizedNetworks"
display_name: "Restrict Authorized Networks on Cloud SQL instances"

  4. Seleziona il Nome della policy dall'elenco.

  5. Fai clic su Modifica.

  6. Fai clic su Personalizza.

  7. Fai clic su Aggiungi regola.

  8. In Applicazione, fai clic su Attiva.

  9. Fai clic su Salva.

Aggiungi la policy dell'organizzazione per le chiavi CMEK

Per una panoramica, consulta Policy dell'organizzazione per le chiavi di crittografia gestite dal cliente.

Per aggiungere una policy dell'organizzazione per le chiavi CMEK:

  1. Vai alla pagina Policy dell'organizzazione.

    Vai alla pagina Policy dell'organizzazione

  2. Fai clic sul menu a discesa dei progetti nella scheda in alto, quindi seleziona il progetto, la cartella o l'organizzazione che richiede la policy dell'organizzazione. La pagina Policy dell'organizzazione mostra un elenco dei vincoli delle policy dell'organizzazione disponibili.

  3. Filtra per name o display_name del vincolo.

    • Per inserire i nomi dei servizi in un elenco di blocco per assicurarti che le chiavi CMEK vengano utilizzate nelle risorse per quel servizio:

      name: "constraints/gcp.restrictNonCmekServices"
display_name: "Restrict which services may create resources without CMEK"

      Devi aggiungere sqladmin.googleapis.com all'elenco dei servizi limitati con l'opzione Nega.

    • Per inserire gli ID progetto in un elenco di elementi consentiti per assicurarti che per le chiavi CMEK vengano utilizzate solo le chiavi di un'istanza di Cloud KMS all'interno di quel progetto.

      name: "constraints/gcp.restrictCmekCryptoKeyProjects"
display_name: "Restrict which projects may supply KMS CryptoKeys for CMEK"

  4. Seleziona il Nome della policy dall'elenco.

  5. Fai clic su Modifica.

  6. Fai clic su Personalizza.

  7. Fai clic su Aggiungi regola.

  8. In Valori policy, fai clic su Personalizzato.

  9. Per constraints/gcp.restrictNonCmekServices: a. In Tipi di policy, seleziona Nega. b. In Valori personalizzati, inserisci sqladmin.googleapis.com.

    Per constraints/gcp.restrictCmekCryptoKeyProjects: a. In Tipi di policy, seleziona Consenti. b. In Valori personalizzati, inserisci la risorsa utilizzando il seguente formato: under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, o projects/PROJECT_ID.

  10. Fai clic su Fine.

  11. Fai clic su Salva.

Passaggi successivi